Concedendo privilégios de administrador de domínio a uma conta de usuário entre florestas?

7

Alguém sabe de uma maneira de [efetivamente] ter um usuário ou grupo em uma floresta adquirir os privilégios do grupo Admin do domínio em outra floresta?

A abordagem óbvia de adicionar Domain Admins@OneForest em Domain Admins@OtherForest não é uma opção, porque o grupo Admins. do Domínio é um grupo Global (e, portanto, não pode ter membros de outras florestas, devido ao escopo de grupos globais ).

Você pode adicionar o Domain Admins@OneForest a um grupo local de domínio em OtherForest , mas não pode adicionar um grupo local de domínio como membro de um grupo Global (ou Universal), o que parece resultar em algo de beco sem saída usando essa abordagem para o problema.

Me deparei com uma solução parcial (que, depois de digitada, vou colocar como resposta para resolver a questão), o problema é que ela fornece direitos administrativos em computadores de domínio, mas não o domínio em si - por exemplo , não permite que a conta entre florestas edite os GPOs.

A outra abordagem que considerei e basicamente não tive sorte em pesquisar é replicar / clonar / duplicar o grupo Admins. do Domínio (mas como um grupo local de domínio, para que ele possa aceitar membros de outro domínio), mas eu Não consigo localizar um recurso sobre quais permissões esse grupo clonado precisaria e para quais recursos. Vendo como não é uma tarefa trivial determinar quais permissões um determinado grupo do Active Directory tem , eu esperava que houvesse ser alguma documentação da Microsoft sobre quais permissões os grupos internos e padrão têm, mas tudo que eu pode encontrar as descrições de suas permissões , o que não me faz bem em tentar configurar outro grupo para corresponder.

longa pergunta, alguém sabe como aplicar privilégios de administrador de domínio em uma floresta a uma conta de outra floresta?

    
por HopelessN00b 12.02.2014 / 18:16

1 resposta

5

O que eu descobri é que eu espero que outra pessoa possa vencer (por ter esses direitos aplicáveis a objetos existentes):

  1. Estabelecer comunicação DNS apropriada entre as duas florestas.
    • No meu caso, isso exigia uma zona de delegação de DNS e encaminhadores condicionais configurados corretamente.
  2. Crie uma confiança de floresta bidirecional com autenticação em toda a floresta
  3. Adicione o grupo Domain Admins@OneForest ao grupo Builtin\Adminstrators@OtherForest .
    • Isso concede efetivamente privilégios em nível de usuário em OtherForest computadores de domínio e privilégios administrativos nos controladores de domínio para OtherForest .
  4. Crie um grupo local de domínio em OtherForest e adicione o grupo Domain Admins@OneForest a ele como membros.
  5. Crie um GPO / GPP para adicionar o grupo criado na etapa 4 ao grupo de administradores locais em todos os computadores do seu domínio.
por 12.02.2014 / 18:16